Cada organización quiere que el único panel de vidrio que proporciona una visibilidad completa utilizando un conjunto de credenciales; Sin embargo, lograr esto puede ser un reto aún cuando todos los aparatos están en premisa. Consideremos ahora la dificultad cuando algunos de los servicios de seguridad están alojados en la nube. Afortunadamente, sólo es difícil y no imposible - la última versión de la aplicación para FireEye Splunk empresa ahora es compatible con la ingestión de basado en la nube de FireEyecorreo electrónico Prevención de Amenazas (ETP) de notificación de eventos.
Preparar
Hay muchos enfoques dependiendo de la arquitectura, y la siguiente (Figura 1) es sólo una posibilidad:
- Configuración de un promotor en la zona desmilitarizada y la lista blanca de la nube IP ETP destinado al puerto TCP 6514
- Generar los certificados SSL requeridos para Splunk (Figura 2)
- Configurar el oyente a través de inputs.conf (Figura 3)
- Contactar con el soporte ETP para reenviar las notificaciones de alerta
Figura 1: Una configuración FireEye ETP y Splunk
mkdir / opt / Splunk / etc / certs
exportar OPENSSL_CONF = / opt / splunk / openssl / openssl.cnf /opt/splunk/bin/genRootCA.sh -d / opt / splunk / etc / certs
/opt/splunk/bin/genSignedServerCert.sh -d / opt / splunk / etc / certs -n splunk -c splunk -p
|
Figura 2: Generación de certificados SSL
[tcp-ssl: // 6514]
SourceType = fe_etp
[SSL]
RootCA = $ SPLUNK_HOME / etc / certs / cacert.pem serverCERT = $ SPLUNK_HOME / etc / certs / splunk.pem password = <La contraseña que se utiliza en el genSignedServerCert> |
Figura 3: Crear el oyente utilizando inputs.conf
resultados
Este esfuerzo proporciona un único panel de vidrio mediante el consumo de datos en materia de protección basado premisa y la nube. Las notificaciones de alerta aparecen en la pantalla principal de análisis, como se muestra en la Figura 4.
Figura 4: Analytics dirige de pantalla con ETP
Información adicional se puede extraer de la pantalla de análisis ETP, como se muestra en la Figura 5.
Figura 5: Pantalla de ETP Analytics
Información más detallada se muestra en la pantalla de análisis ETP muestra en la Figura 6.
Figura 6: Análisis de la pantalla ETP
Por último, similar a otros datos de electrodomésticos FireEye, permitimos respondedores a pivotar desde el campo UrlHash muestra en la Figura 6 para obtener una segunda opinión utilizando una bases de datos de reputación de terceros. Este pivotamiento rápida ayuda a acortar el tiempo requerido para confirmar la malicia y completar una investigación.
Conclusión
FireEye continúa innovando e integrarse con soluciones de socios para aportar comodidad a nuestros clientes. Esperamos que disfrute de nuestros últimos esfuerzos y obtener información adicional de los cuadros de mando. No dude en enviar retroalimentación dentro de la aplicación Splunk mediante el uso de ayuda Un enviar comentarios. Os dejamos con estos enlaces útiles:
- FireEye Splunk aplicación descarga .
- FireEye Splunk TA descarga .
- FireEye Splunk guía de configuración .
- Aplicación FireEye Splunk vídeo de introducción .
- Certificado de ayuda splunk se puede encontrar aquí y que re.
No hay comentarios:
Publicar un comentario